Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonusy - ankietę do badania RODO-świadomości pracowników oraz arkusz oceny wdrożenia RODO.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

10 najczęstszych RODO niezgodności

Wstęp

Centrala właśnie zapowiedziała audyt RODO? Inspektorzy Urzędu Ochrony Danych Osobowych chcą odwiedzić Twoją organizację?

A może po prostu chcesz uprzedzić kontrolę i sprawdzić poziom RODO zgodności?

Jeśli tak, to koniecznie zapoznaj się z poniższym tekstem.

Pamiętaj o zasubskrybowaniu naszego bloga. W mailu aktywującym konto otrzymasz dwa użyteczne narzędzia. Jednym z nich będzie arkusz oceny RODO zgodności, dzięki któremu… ustalisz zgodność z RODO w Twojej organizacji!

Zapisz się na nasz newsletter i pobierz dodatkowe materiały

Mija kolejny rok…

… a my jesteśmy bogatsi o nowe doświadczenia. Między innymi te płynące z przeprowadzenia kilkudziesięciu powdrożeniowych RODO audytów. Nasi klienci byli też wielokrotnie audytowani przez podmioty zewnętrzne. A nawet kontrolowani przez inspektorów UODO.

Bycie kontrolowanym czy sprawdzanym nigdy nie jest przyjemne.  Dzielimy się z Wami naszymi wnioskami, przemyśleniami i refleksjami. Upewnij się, że w Twojej organizacji nie występują poniższe uchybienia… lub znajdź je zawczasu i wyeliminuj!

Niezgodność # 1:

Wdrożenie RODO nie jest jednorazowym projektem – jest procesem!

Ogromna ilość błędów i braków RODO gotowości jest konsekwencją niezrozumienia fundamentalnej idei.

RODO nie może być traktowane jako jednorazowy projekt biznesowy pt.: „zamawiam wdrożenie, szkolę pracowników, podpisuję politykę ochrony danych i mam spokój z tematem na najbliższe 10 lat”.

Potrzebny jest ktoś (konkretna osoba), kto weźmie odpowiedzialność za stosowanie procedur, zaktualizuje Rejestr Czynności Przetwarzania (RCP), przygotuje umowę powierzenia, etc.

Dlatego jednym z podstawowych obszarów badanych przez audytorów (czy to z centrali czy to inspektorów UODO), jest to, czy osoba odpowiedzialna za RODO, działa na bieżąco.

Sprawdzić to można choćby poprzez obejrzenie naszego RCP oraz dat jego ostatniej aktualizacji. Jeśli audytor widzi, że żadnych aktualizacji od 25 maja 2018 roku nie było… od razu pojawi się lampka ostrzegawcza i wątpliwość co do aktualności całego naszego systemu RODO.

Poniżej lista najczęstszych braków RODO gotowości, będących efektem traktowania RODO jako punktowego działania:

  • Rejestr Czynności Przetwarzania

Brak jakichkolwiek aktualizacji nie wzbudzi zaufania audytorów. Z drugiej strony, nic na siłę. Jeśli w naszej organizacji przez ostatnie 1,5 roku naprawdę nic się nie zmieniło… to i RCP się nie zmieni!

O tym jak prawidłowo prowadzić RCP pisaliśmy już na naszym blogu tutaj.

  • Brak podpisanych umów powierzenia,

Czasami podpisanie umowy powierzenia może zająć dużo czasu. Niemniej jednak warto… a już na pewno w kluczowych obszarach takich jak np. outsourcingi IT, kadr czy działań marketingowych.

Do tego tanga trzeba dwojga – jeśli druga strona uprze się, aby umowy nie podpisać, to jej nie podpisze.

Niemniej jednak sami też możemy dużo zrobić!

Zupełnie inaczej wygląda rozmowa z audytorem, kiedy możemy pokazać ponaglające maile i wezwania do zawarcia umowy, niż ta sama sytuacja, kiedy jedyne co mamy to mail sprzed roku z draftem umowy powierzenia i prośbą o podpis.

Samą umowę powierzenia przetwarzania również rozłożyliśmy na czynniki tutaj.

  • Całkowity brak lub nieaktualny Rejestr Kategorii Czynności Przetwarzania

Sytuacja zbliżona do tej opisanej w pkt 1) czyli RCP. Tak się jednak składa, że w praktyce mało kto zapomina o prowadzeniu RCP w ogóle.

Ale już w przypadku RKPC – to zdarza się dość często!

Nie zapominaj o RKCP i jego aktualizacji!

O tym kto powinien prowadzić RKCP i jak to robić pisaliśmy tutaj.

  • Niezaktualizowane obowiązki informacyjne

Obowiązki informacyjne, ich brak lub nieaktualność nie umkną uwadze większości audytorów. A także części klientów.

Pamiętaj o tym, żeby były aktualne! A już zwłaszcza te widoczne dla większości mieszkańców naszej Planety, które znajdują się na Twojej stronie internetowej.

Kompendium wiedzy na temat obowiązków informacyjnych znajdziesz oczywiście również… na naszym blogu! :-).

  • Brak upoważnień dla wszystkich lub części pracowników

Im więcej czasu upłynęło od wdrożenia, tym mniejsza szansa, że upoważnienie będzie prawidłowo nadane. Sprawdzanie obszaru upoważnień zacznij więc od niedawno zatrudnionych osób.

Audytorzy na pewno nie zapomną o tym temacie.

O nadawaniu upoważnień oczywiście też już pisaliśmy na naszym blogu. Niemniej jednak tekst dotyczy nadawania upoważnień w poprzednim stanie prawnym. Nowy, aktualny tekst pojawi się już w lutym 2020.

dokumentacja ochrony danych osobowych

Pakiet wdrożeniowy RODO Optymalnie

Masz niekompletną dokumentację, a Twój rejestr czynności przetwarzania świeci pustkami? Nie wiesz jak opracować klauzule informacyjne tak, aby ich treść spełniała warunki RODO? Twoi pracownicy nadal nie wiedzą czym są dane osobowe i jakie są podstawowe zasady ich przetwarzania?

Sprawdź

Niezgodność # 2:

Błędy formalne

Czy można wdrożyć RODO ale tak naprawdę… nie wdrożyć? Można!

Jak tego dokonać? Wystarczy przygotować procedury, zebrać je w formę Polityki ochrony danych osobowych podpisywanej przez Zarząd. Następnie nie doczekać się podpisu Zarządu.

Znamy takie przypadki. Problem w tym, że ten z pozoru błahy błąd sprawia, że nasze procedury nie mają odpowiedniego umocowania. Dla inspektorów UODO, uznane zostaną za nieistniejące.

W dużej organizacji, która czasem wymaga dwóch i więcej podpisów na podobnych dokumentach, może być trudno zebrać Zarząd ad hoc i zdążyć z podpisem na czas kontroli.

Kolejny błąd formalny, który może się pojawić to brak zgłoszenia Inspektora Ochrony Danych do Regulatora.

Zwłaszcza w przypadku audytu centrali – pamiętajmy o posiadaniu potwierdzenia zgłoszenia IOD Regulatorowi.

Poza zgłoszeniem IODa do UODO, pamiętajmy też o dokumencie powołania IODa w organizacji.

Niezgodność # 3:

Brak zdrowej struktury RODO odpowiedzialności

Skuteczne wdrożenie RODO nakłada na organizację pewne obowiązkowe działania. Aby były one realizowane na co dzień, ktoś musi wziąć za nie odpowiedzialność.

Ktoś powinien odpowiadać za nadanie upoważnień, przygotowanie umów powierzenia, reakcje na incydenty, etc.

Ktoś powinien również odpowiadać za całokształt RODO gotowości. To bardzo ważne, aby ktoś spojrzał na funkcjonowanie organizacji również z perspektywy całości i skorygował ewentualne niezgodności.

Taką osobą koordynującą całość – najczęściej będzie Inspektor Ochrony Danych.

Jakie więc błędy można popełnić w obszarze struktury RODO odpowiedzialności?

Najczęściej spotykane błędy w strukturze RODO odpowiedzialności

  1. Brak wsparcia dla IODa – tj. model w którym IOD odpowiada za wszystkie działania, łącznie ze szkoleniem, negocjowaniem umów powierzenia, IT, nadawaniem upoważnień, etc. (z małym zastrzeżeniem - może się sprawdzić w małej organizacji lub sytuacji IODa pracującego na etat i zajmującego się tylko RODO),
  2. Brak wyznaczenia osoby czuwającej nad kwestiami RODO jako całością. Jeśli nie musimy powoływać IODa, to i tak ktoś powinien wziąć odpowiedzialność za RODO jako za całość.
  3. Nieostry podział zadań i obowiązków. Każdy powinien wiedzieć dokładnie za co odpowiada w obszarze RODO. Brak jasnego i precyzyjnego podziału będzie prowadził do dysfunkcji systemu.
  4. Konflikty personalne i konflikty interesów – IOD jest podwładnym kierowników tych działów, które ma obowiązek nadzorować.
  5. Brak autonomii IODa lub osoby odpowiedzialnej.

Punkty 4 i 5 są ze sobą mocno zintegrowane. Osoba pełniąca funkcję IOD lub zbliżoną, musi dysponować pewnym poziomem niezależności. Bez niezależności działania IODa sprowadzą się do tworzenia systemu, który nie będzie miał wiele wspólnego z ochroną danych osobowych.

Niezgodność # 4:

Brak świadomości wśród pracowników

Ten błąd to prawdziwa klasyka gatunku. Nawet jeśli mamy dobrze napisane i podpisane przez Zarząd (!), procedury to trudno o ich praktyczne funkcjonowanie, jeśli przeciętny pracownik nic o nich nie wie.

Budowanie świadomości to żmudny i niewdzięczny proces. Ale jeśli nie zamierzamy się go podjąć… równie dobrze możemy nie wdrażać RODO wcale.

Poziom RODO świadomości jest badany zarówno przez Regulatora, jak przez większość audytorów zewnętrznych.

My pisaliśmy już nie raz o RODO świadomości. Jeśli chcesz się dowiedzieć więcej o tym jak ją zmierzyć lub co zrobić aby ją podnieść – zapraszamy do naszego artykułu.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Niezgodność # 5:

Brak kontroli nad procesorami

Prawie wszystkie organizacje outsourcują część swoich procesów biznesowych. Oczywiście nie ma w tym nic złego, jeśli mamy kontrolę nad procesorami.

Ta kontrola przejawia się na 3 płaszczyznach:

  • Podpisane umowy powierzenia,
  • Aktualny rejestr zawartych powierzeń,
  • Audyty procesorów.

O ile świadomość konieczności zawierania i ewidencjonowania umów powierzenia, to coś z czym większość organizacji, zdążyła się już oswoić, to z audytem procesora sprawa nie jest już tak oczywista.

Nie musimy audytować wszystkich naszych procesorów! Ale przynajmniej jeden zdalny audyt, dla któregoś z kluczowych procesorów wypadałoby zrealizować.

Pytanie o audyty procesora i ślad po ich realizacji było nam zadawane bardzo często przez zewnętrznych audytorów. I słusznie! Dlatego na naszym blogu powstał właśnie ten artykuł.

Niezgodność # 6:

Brak audytów RODO

W Lex Artist podeszliśmy do tego zagadnienia w sposób następujący. Po wdrożeniu RODO (maj 2018), daliśmy sobie i naszym klientom rok czasu na powiedzenie „sprawdzam”. W międzyczasie oczywiście działaliśmy na bieżąco, reagując na wszystkie wymagające tego sytuacje.

Po roku przeprowadziliśmy u każdego z klientów tzw. audyt powdrożeniowy. Sprawdziliśmy w sposób zbiorczy co działa, a co nie. Jakie mamy słabe i mocne strony.

Podobnie jak w czasach funkcjonowania ustawy o ochronie danych osobowych z 1997 roku, taka praktyka świetnie zdała egzamin.

Przez rok uzbiera się zawsze sporo mniejszych lub większych mankamentów, o których warto i nawet trzeba porozmawiać z Zarządem.

Zdecydowanie polecamy raz do roku wykonanie sprawdzenia pod kątem zgodności kluczowych obszarów z RODO. Opcjonalnie możemy badać wyrywkowo co roku inny obszar funkcjonowania RODO w naszej organizacji.

Spojrzenie na RODO gotowość z szerokiej perspektywy jest ważne! To właśnie robisz czytając ten tekst. Jeśli potrzebujesz wsparcia w realizacji audytu zgodności z RODO, skorzystaj z naszej pomocy.

Niezgodność # 7:

Retencja nie działa

Retencja sama w sobie to temat rzeka, o którym na pewno nie raz jeszcze napiszemy. Dużym problemem większości organizacji jest praktyczna realizacja retencji.

To, że wpisaliśmy okresy retencji i wpisaliśmy procedurę jej realizacji, nie znaczy, że będzie ona w praktyce stosowana przez adresatów.

Czy na skrzynkach mailowych wciąż znajdują się CV z rekrutacji sprzed 2 lat?

Jeśli tak – zdecydowanie warto coś z tym zrobić!

Niezgodność # 8:

Brak kontroli nad obszarem bezpieczeństwa IT

Obszar IT Security jest również istotnym elementem zgodności z RODO. Jego wagę pokazała kara nałożona przez UODO na spółkę Morele.net (więcej).

Ktoś z pracowników firmy (lub osoba z zewnątrz), powinien wziąć odpowiedzialność za bezpieczeństwo naszych systemów IT.

Kwestie logowania, odzyskiwania haseł, szyfrowania laptopów, backupów, reagowanie na incydenty, etc. Jeśli nikomu w organizacji nie można przypisać odpowiedzialności za powyższe obszary to znaczy, że o czymś ważnym zapomnieliśmy.

Niezgodność # 9:

Zbieranie zgód bez zadbania o ich rozliczalność

Zgoda… powinna być zgodna z RODO. Czyli konkretna i wyraźna, etc. Powinna być również rozliczalna.

Po pierwsze, musimy mieć możliwość sprawdzenia czy zgoda faktycznie została wyrażona.

Jeśli ktoś wyraził zgodę na jakiś proces na swoich danych, to ma również prawo do wycofania zgody. W jaki sposób odnotowujemy wycofanie zgody? W jaki sposób sprawimy, aby ta osoba już więcej nie dostała naszych wiadomości czy telefonów?

Czy opracowana przez nas metoda jest skuteczna?

Niezgodność # 10:

Brak rejestru naruszeń

W skali roku w większości dużych organizacji przydarzają się incydenty ochrony danych. Nie wszystkie wymagają jednak zgłoszenia do Regulatora.

Pamiętajmy o tym, że wszystkie incydenty, powinny zostać odnotowane w wewnętrznym rejestrze.

Z tym bywa już różnie. Niektóre organizacje w ogóle nie prowadzą takich rejestrów, inne wypełniają je sporadycznie.

Tymczasem pytanie o taki wewnętrzny rejestr, jest standardem zarówno jeśli chodzi o kontrole UODO, jak i kontrole zewnętrznych audytorów.

Podczas jednego z audytów, zewnętrzny kontroler poprosił mnie o wewnętrzny rejestr incydentów.

Odpowiedziałem, że jest pusty, ponieważ incydentów nie było. Mimo wszystko audytor chciał zobaczyć, czy dysponuję nawet pustym szablonem.

Podsumowanie

Podejmij RODO wyzwanie!

Dajemy Ci świetną okazję do bezbolesnego sprawdzenia swojego systemu RODO. Skorzystaj z praktycznego narzędzia – arkusza oceny RODO wdrożenia:

Zapisz się na nasz newsletter i pobierz dodatkowe materiały

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Ile mam czasu na zgłoszenie RODO naruszenia? Opinia ZFODO
praca zdalna a rodo
Praca zdalna zgodna z RODO
dpia szacowanie ryzyka RODO
Ocena ryzyka w RODO – jak się za to zabrać? (cz.3)

Zostaw odpowiedź

* pola obowiązkowe